Używanie popularnych domen podrzędnych DDns może prowadzić do obniżenia jakości usługi internetu domowego przez operatora telekomunikacyjnego

Problemy z rozłączaniem IPv6 i niepowodzeniem przebijania tunelu trwały trzy miesiące, w końcu potwierdzono przyczynę, dzielę się nią z Wami.

Pierwszy post z prośbą o pomoc w problemie rozłączania IPv6

IPv6 zawsze działał normalnie, bez zmian ustawień, wszystkie urządzenia miały niezależne adresy IPv6, ale nie mogły połączyć się z siecią IPv6.

curl 6.ipw.cn nie zwracał odpowiedzi, ping6 i traceroute6 2400:3200::1 były przerwane.

Mostek routera z modemem, można uzyskać adres IPv6 routera, to jest adres umożliwiający dostęp do IPv6.

Można uzyskać prefiks /56, wszystkie urządzenia pod routerem mogą uzyskać przydzielone adresy IPv6 240e:36f:15c3:3200::/56, ale nie mogą połączyć się ze stronami IPv6.

Wątpię, że operator nie zbudował trasy dla 240e:36f:15c3:3200::, ale nie mogę tego potwierdzić.

Użytkownik internetu powiedział, że może to być spowodowane dużym ruchem uploadu PCDN, ale ruch uploadu jest mały, PCDN nie jest włączone.

Może to być również spowodowane używaniem Cloudflare i Aliyun ESA reverse proxy.

Drugi post potwierdzający bezpośrednią przyczynę

Potwierdzono, że niektóre regiony operatorów telekomunikacyjnych obniżają jakość usług z powodu dużych ilości połączeń IPv6 przychodzących HTTP/HTTPS, objawy:

• Fałszywy IPv6, IPv6 może uzyskać prefiks /56, przydziały IPv6 na urządzeniach routera są normalne, ale tracert brakuje trasy, co powoduje rzeczywistą niemożność połączenia się z IPv6.
• Fałszywe przebijanie ściany, test połączenia Tailscale pokazuje połączenie w linii prostej, ale opóźnienie jest bardzo wysokie, rzeczywista prędkość sieci jest bardzo wolna.

Wyłączenie reverse proxy Cloudflare i Aliyun ESA, po wielokrotnym ponownym uruchomieniu routera, można przywrócić IPv6 i prawdziwe połączenie w linii prostej.

Kontynuacja rozłączania po wyłączeniu reverse proxy

Nawet po wyłączeniu reverse proxy, wyłączeniu Cloudflare i Aliyun ESA z powrotem do źródła, nadal występują okazjonalne rozłączania, trwające dłużej.

Może istnieć wyciek domeny lub ktoś używa popularnych domen podrzędnych do skanowania, długotrwałe ataki HTTP.

Wyłączenie rozwiązywania nazw domen DDns, po pewnym czasie, IPv6 wraca do normy, przebijanie tunelu Tailscale również działa normalnie.

Od tego momentu nie występują już problemy z rozłączaniem.

Ostateczne rozwiązanie

W tym miejscu sugeruję, abyście nie używali popularnych domen podrzędnych DDns, takich jak:

• home.example.com
• nas.example.com
• router.example.com
• ddns.example.com
• cloud.example.com
• dev.example.com
• test.example.com
• webdav.example.com

Kilka z nich to te, których ja używam od dawna, może ktoś ciągle je skanuje, co powoduje obniżenie jakości usług internetu domowego przez operatora telekomunikacyjnego, publiczne IPv6 nie może być używane normalnie, zawsze nie można przebić tunelu w linii prostej.

Wszyscy wiedzą o ważności ukrywania IP w cyberbezpieczeństwie, tutaj dodatkowo sugeruję ochronę nazw domen używanych do DDns, co zasadniczo również oznacza ujawnianie IP.

Ale co zrobić, jeśli nadal jest potrzeba ujawniania usług?

Oto dwa praktyczne rozwiązania:

• Rozwiązanie z powrotem do źródła, to usługa pośrednicząca, żądanie najpierw dociera do VPS, a następnie do serwera domowego. Ze względu na przekierowanie ruchu, opóźnienie i przepustowość będą miały pewien wpływ.
• Rozwiązanie DDns, to rozwiązanie z połączeniem w linii prostej, doświadczenie z połączeniem będzie znacznie lepsze, polecam to rozwiązanie. Osobiście zazwyczaj nie przekroczy limitu liczby połączeń, ale jeśli nazwa domeny jest publiczna, boty w mgnieniu oka podniosą liczbę połączeń.

Rozwiązanie z powrotem do źródła (reverse proxy)

Cloudflare Tunnel

Użyj Tunelu Cloudflare, w ten sposób nie będzie tak jak przy zwykłym powrocie do źródła, gdzie dziesiątki lub setki IP próbują uzyskać dostęp.

Tailscale lub ZeroTier

Zbuduj własną VPN, przednią część opakuj VPS, uzyskuj dostęp do usług wewnętrznych za pośrednictwem VPN, w ten sposób można uniknąć zbyt dużej liczby jednoczesnych połączeń.

Rozwiązanie DDns (połączenie w linii prostej)

Publiczne rozwiązywanie nazw

Wygeneruj losowy ciąg znaków, np. GUID, do nazwy domeny DDns, choć prawie niemożliwy do zapamiętania, ale rzeczywiste użycie osobiste nie ma dużego wpływu, można samodzielnie ocenić.

Prywatne rozwiązywanie nazw

Użyj osobistej usługi DNS, np.:

• AdguardPriavte
• dot.pub

Do rozwiązywania nazw DDns.

W tym rozwiązaniu tylko osoby mogące połączyć się z serwerem DNS mogą uzyskać niestandardowy adres IP dla określonej nazwy domeny.

W tym rozwiązaniu można używać popularnych nazw domen DDns, ale należy unikać wycieku własnego adresu serwera DNS.

Uzupełnienie

Mówi się, że używanie speedtest jako nazwy domeny podrzędnej ma mistyczny efekt przyspieszający.

• ←Poprzednia
• Następna→